全球主机交流论坛

标题: 请问我是不是被攻击了 [打印本页]

作者: madcatw 时间: 2011-1-27 16:40
标题: 请问我是不是被攻击了
netstat -an
显示tcp协议有很多80端口恶意连接我的其他非服务端口，例如1272，1253，3864……等等，ip大多数是godady空间的，
vps是win的，默认防火墙只开了几个服务端口
机器启动后受攻击不久就会死掉，连IDC网站也无法访问，貌似针对机房的？
我是不是被攻击了，是DDOS还是CC？

作者: cnweb 时间: 2011-1-27 16:40
也许是吧

作者: YEVPS.COM 时间: 2011-1-27 16:48
CC

作者: zengli 时间: 2011-1-27 16:50

。。。

作者: madcatw 时间: 2011-1-27 16:53

原帖由 YEVPS.COM 于 2011-1-27 16:48 发表
CC

cc不是攻击80端口的吗，但他连接我的非80端口

作者: yc260982 时间: 2011-1-27 17:01
应该是吧

作者: Globalization 时间: 2011-1-27 17:02
过滤一下

作者: madcatw 时间: 2011-1-27 17:04

原帖由 Globalization 于 2011-1-27 17:02 发表
过滤一下

正在找win防火墙，还是linux方便多了

作者: wdlth 时间: 2011-1-27 17:14
发内容出来看看是什么连接状态，判断正常还是攻击。

作者: madcatw 时间: 2011-1-27 17:16

原帖由 wdlth 于 2011-1-27 17:14 发表
发内容出来看看是什么连接状态，判断正常还是攻击。

  TCP xx.xx.10.18:1252    97.74.215.60:80       TIME_WAIT
  TCP xx.xx.10.18:1253    97.74.215.141:80    TIME_WAIT
  TCP xx.xx.10.18:1254    97.74.215.60:80       TIME_WAIT
  TCP xx.xx.10.18:1255    119.147.11.117:80    TIME_WAIT
  TCP xx.xx.10.18:1256    97.74.215.60:80       TIME_WAIT
  TCP xx.xx.10.18:1294    97.74.215.60:80       ESTABLISHED
  TCP xx.xx.10.18:1257    173.201.216.4:80    TIME_WAIT
  TCP xx.xx.10.18:1258    97.74.215.84:80       TIME_WAIT
  TCP xx.xx.10.18:1259    184.168.192.42:80    TIME_WAIT
  TCP xx.xx.10.18:1260    184.168.192.42:80    TIME_WAIT
  TCP xx.xx.10.18:1261    173.201.216.3:80    TIME_WAIT
  TCP xx.xx.10.18:1262    173.201.216.3:80    TIME_WAIT
  TCP xx.xx.10.18:1263    97.74.215.141:80    TIME_WAIT
  TCP xx.xx.10.18:1264    173.201.216.50:80    TIME_WAIT
  TCP xx.xx.10.18:1265    97.74.144.117:80    TIME_WAIT
  TCP xx.xx.10.18:1266    173.201.216.50:80    TIME_WAIT

还有很多……

[ 本帖最后由 madcatw 于 2011-1-27 17:17 编辑 ]

作者: tony1999 时间: 2011-1-27 17:19
这是连接的80端口，不过你有大量的TIME_WIAT，看上去不像攻击，也许是你的程序需要优化。
另外把哪个xx.xx.10.18的地址先给kill或者屏蔽掉看看.

[ 本帖最后由 tony1999 于 2011-1-27 17:20 编辑 ]

作者: madcatw 时间: 2011-1-27 17:21
xx.xx.10.18:1256　这个才是我的主机，后面的都是godaddy空间80端口

作者: tony1999 时间: 2011-1-27 17:25
标题: 回复 12# 的帖子
哦，那是我看错了，你把97.74.215.141这个的time_wait全部kill掉不行嘛
另外，你开这么多无用的端口干什么？
TIME_WAIT一般不是攻击，SYN才是，TIME_WAIT有可能是别人正常访问你的网站，但是因为你的某些程序慢或者做过什么限制引起的。

[ 本帖最后由 tony1999 于 2011-1-27 17:28 编辑 ]

作者: madcatw 时间: 2011-1-27 17:28

原帖由 tony1999 于 2011-1-27 17:25 发表
哦，那是我看错了，你把97.74.215.141这个的time_wait全部kill掉不行嘛

win的主机，还找不到防火墙，等下装个瑞星防火墙试试

作者: madcatw 时间: 2011-1-27 17:35

原帖由 tony1999 于 2011-1-27 17:25 发表
哦，那是我看错了，你把97.74.215.141这个的time_wait全部kill掉不行嘛
另外，你开这么多无用的端口干什么？
TIME_WAIT一般不是攻击，SYN才是，TIME_WAIT有可能是别人正常访问你的网站，但是因为你的某些程序慢或者做过什么限制引 ...

奇怪了，win2003默认防火墙默认只开几个服务端口，其他端口怎么会连得上呢

作者: madcatw 时间: 2011-1-27 17:36
cpu，内存都快暴了

作者: tony1999 时间: 2011-1-27 17:41
标题: 回复 16# 的帖子
还是换成linux吧，晕到死搞不懂

或者你发短信给真相帝“我是人”问问看，他可能懂的。

作者: weishimi 时间: 2011-1-27 17:54
也许是放了采集～

作者: 我是人 时间: 2011-1-27 21:40
也许像楼上说的，楼主是不是在采集啊？

TCP xx.xx.10.18:1294 97.74.215.60:80 ESTABLISHED
嗯，这个比较像是你在攻击 97.74.215.60，哈哈哈。

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)